ネットでやり方を見つければ簡単に出来る問題ではあるが,自分としては,Linuxの削除ファイルの復元をEnCase等に頼らず,初めて無料ツールでやったので記録を残しておく。
down-at-the-bottom.txtを探せとのこと
マウントしてファイルを探してみる
$ file dds2-alpine.flag.img
dds2-alpine.flag.img: DOS/MBR boot sector; partition 1 : ID=0x83, active, start-CHS (0x0,32,33), end-CHS (0x10,81,1), startsector 2048, 260096 sectors
$ fdisk -l -u dds2-alpine.flag.img
ディスク dds2-alpine.flag.img: 128 MiB, 134217728 バイト, 262144 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: dos
ディスク識別子: 0x5d8b75fc
デバイス 起動 開始位置 最後から セクタ サイズ Id タイプ
dds2-alpine.flag.img1 * 2048 262143 260096 127M 83 Linux
$ sudo mount -o loop,offset=$((2048*512)) dds2-alpine.flag.img /mnt/test
$ grep -r "down-at-the-bottom.txt" *
やっぱりダメ。
ヒント見る
参考にしたサイト
fls 参考にしたサイト
$ fls -r -b 512 -o 2048 dds2-alpine.flag.img | grep "down-at-the-bottom.txt"
r/r 18291: down-at-the-bottom.txt
iノード番号がわかった。
icat 参考にしたサイト
$ icat -b 512 -o 2048 dds2-alpine.flag.img 18291
_ _ _ _ _ _ _ _ _ _ _ _ _
/ \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \
( p ) ( i ) ( c ) ( o ) ( C ) ( T ) ( F ) ( { ) ( f ) ( 0 ) ( r ) ( 3 ) ( n )
\_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/
_ _ _ _ _ _ _ _ _ _ _ _ _
/ \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \
( s ) ( 1 ) ( c ) ( 4 ) ( t ) ( 0 ) ( r ) ( _ ) ( n ) ( 0 ) ( v ) ( 1 ) ( c )
\_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/
_ _ _ _ _ _ _ _ _ _ _
/ \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \
( 3 ) ( _ ) ( 0 ) ( b ) ( a ) ( 8 ) ( d ) ( 0 ) ( 2 ) ( d ) ( } )
\_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/